RIM stellt Fehlerkorrekturen für Blackberry bereit
Research in Motion (RIM) stellt für einige der kürzlich bekannt gewordenen Sicherheitslücken seiner Blackberry-Geräte und -Dienste Patches und Workarounds bereit.
Auf dem CCC-Kongress in Berlin hatten Ende letzten Jahres Aktivisten der Gruppe Phenoelit etliche Mängel in den RIM-Produkten vorgestellt. Research in Motion (RIM) hat nun für vier der bekannt gewordenen Sicherheitslücken in seinen Blackberry-Geräten und -Diensten Patches und Workarounds verfügbar gemacht.
Für den durch manipulierte PNG-Dateien provozierten Buffer-Overflow im Blackberry Enterprise Server (BES) stellt der Hersteller nach eigenen Angaben einen Patch bereit. In seinem Advisory verlinkt RIM auf den Download-Bereich und empfiehlt die Installation des Hotfix 1 für Service Pack 3. Der ist allerdings schon etwas älter, zum Download steht auch schon Hotfix 2 von Anfang Dezember zur Verfügung. Ein Nachfrage an RIM, welcher Hotfix die Lücke nun schließt, blieb bislang unbeantwortet. Als Workaround schlägt RIM vor, PNG als unterstützte Typen auf dem Server und Handhelds zu deselektieren.
Um ein ähnliches Problem mit TIFF-Dateien zu verhindern, empfiehlt RIM, Mailanhänge mit diesen Dateien im BES zu überspringen – einen Patch für den Fehler gibt es nicht. Wirklich sicher sei jedoch nur, wer den so genannten Image Distiller vollständig abschalte und somit auf Bilder in E-Mails verzichte.
Für einen weiteren Bug, der das Installieren manipulierter Java-Anwendungen auf Endgeräten erlaubt, reicht laut RIM ein Upgrade auf Version 4.0.2 aus. Um in den Genuss dieser Version zu gelangen, soll man sich laut RIM mit seinem Service Provider in Verbindung setzen. Ein Download auf den RIM-Seiten wird nicht angeboten.
Für eine Schwachstelle im Server Relay Protokoll (SRP), die einem Angreifer eine Denial-of-Service-Attacke ermöglicht, hat RIM bislang keine hundertprozentige Lösung parat. Als Workaround empfiehlt das Advisory, den Blackberry-Router in eine entmilitarisierte Zone (DMZ) der Firewall zu verlegen, um zumindest Angriffe von außen unmöglich zu machen.
Siehe dazu auch:
- Browser dialogue box not properly dismissed after downloading a corrupt JAD file, Knowledgebase-Artikel von RIM
- Corrupt PNG file may cause heap overflow in the BlackBerry Attachment Service, Knowledgebase-Artikel von RIM
- Corrupt TIFF file may cause heap overflow resulting in denial of service in the BlackBerry Attachment Service, Knowledgebase-Artikel von RIM
- Denial of service on the BlackBerry Router, Knowledgebase-Artikel von RIM
